Wo passt die Zero-Trust-Segmentierung in das neue Zero-Trust-Reifegradmodell von CISA?
Letzte Woche veröffentlichte CISA seine mit Spannung erwartete Zero-Trust-Reifegradmodell 2.0 — eine aktualisierte Version des branchenweit anerkannten Zero Trust Maturity Model (ZTMM), das erstmals 2021 veröffentlicht wurde.
Auf hoher Ebene skizziert ZTMM von CISA, wie moderne Unternehmen Cyber-Resilienz „in einer sich schnell entwickelnden Umgebung und Technologielandschaft“ aufbauen können. Es ist auch eine wichtige Verlängerung der Amtszeit 2021 der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes was von den Bundesbehörden die Entwicklung und Implementierung einer Zero-Trust-Architektur (ZTA) verlangte.
Es gibt zwar keine Einzelheiten und insgesamt einen allgemeineren Überblick über die längerfristigen Widerstandsziele des Bundes (wie es Architekturleitfäden wie diese oft sind), aber es ist immer vielversprechend, dass sich die Zero-Trust-Dynamik des Bundes fortsetzt! Und mit Segmentierung Leitlinien, die über alle Säulen und Reifegrade verteilt sind, und aktualisierte Taktiken wie diese werden den Bundesbehörden helfen, ihre Ziele im Bereich Cyberresistenz effektiver zu erreichen.
Hier kommt die Segmentierung ins Spiel
Wenn IT-Mitarbeiter des Bundes an Segmentierung denken, denken sie oft als Erstes an das Netzwerk. Das aktualisierte ZTMM ist nicht anders. Die Netzwerksegmentierung ist als gesamte technische Fähigkeit in Abschnitt 5.3 enthalten, der sich auf die Netzwerksäule des ZTA von CISA bezieht. CISA schreibt, dass die Netzwerksegmentierung in der Anfangsphase wie folgt aussieht: „Die Behörde beginnt mit der Implementierung einer Netzwerkarchitektur mit der Isolierung kritischer Workloads, der Beschränkung der Konnektivität auf die Prinzipien der geringsten Funktionalität und einem Übergang zu dienstspezifischen Verbindungen.“
In der Praxis bedeutet dies, mit der Anwendung der geringsten Privilegien zu beginnen (d. h. das implizite Vertrauen einzuschränken) und damit zu beginnen, kritische Workloads vom Server wegzusegmentieren. Klingt einfach genug, oder?
CISA geht dann darauf ein, wie die Netzwerksegmentierungsfunktionen für alle Reifegrade aussehen — von der Implementierung der Makrosegmentierung auf traditionelleren Ebenen bis hin zur Anwendung einer grobkörnigeren Mikrosegmentierung in fortgeschrittenen und optimalen Stadien.
Für fortgeschrittene Bundesbehörden kann die Netzwerksegmentierungsanwendung wie folgt aussehen: „Die Behörde erweitert den Einsatz von Mechanismen zur Isolierung von Endpunkten und Anwendungsprofilen auf einen größeren Teil ihrer Netzwerkarchitektur mit Eingangs-/Ausgangs-Mikroperimetern und dienstspezifischen Verbindungen.“
Mit Lösungen wie Illumio Endpunkt, Illumio macht es Unternehmen aller Reifegrade einfach und nahtlos, Zero Trust Segmentation (ZTS) bis zum Endpunkt anzuwenden.
Die ZTS-Prinzipien sind nicht nur auf den Netzwerk-Bucket beschränkt. In Abschnitt 5.4, in dem die Anwendung erörtert wird und Workload-Sicherheit, schreibt CISA, dass in der Anfangsphase: „Die Behörde beginnt mit der Implementierung von Funktionen zur Autorisierung des Zugriffs auf Anwendungen, die Kontextinformationen (z. B. Identität, Gerätekonformität und/oder andere Attribute) pro Anfrage mit Ablauf enthalten.“
In der fortgeschrittenen Phase „automatisiert die Behörde Entscheidungen über den Anwendungszugriff mit erweiterten Kontextinformationen und erzwungenen Ablaufbedingungen, die den Prinzipien der geringsten Zugriffsrechte entsprechen“.
Dies sind auch Bereiche, in denen Sichtbarkeit und Segmentierung helfen können — indem sie Durchsetzungsgrenzen rund um Identitäten und Geräte schaffen, die Prinzipien der geringsten Zugriffsrechte durchsetzen und Richtlinien auf der Grundlage eines verifizierten Kontextes automatisieren.
Weitere wichtige Erkenntnisse von einem CTO auf Bundesebene
Obwohl die Segmentierung im neuen ZTMM nicht unbedingt im Mittelpunkt steht, ist die Realität so, dass Segmentierung in alle Bereiche passt — und sie ist für Unternehmen aller Zero-Trust-Stufen unerlässlich (und machbar). Ehrlich gesagt ist es vielversprechend, dass die Technologie endlich das Lob bekommt, das sie verdient, aber es gibt noch viel zu tun und zu lernen.
Insbesondere da Bundesbehörden versuchen, die fortgeschritteneren Stufen der Zero-Trust-Reife zu erreichen, sind Sichtbarkeit und Segmentierung von entscheidender Bedeutung. Transparenz in der gesamten Hybridumgebung (Cloud, lokal, Endpunkt, IT/OT) ist entscheidend, um zu verstehen, was Sie haben, damit Sie wissen, was Sie schützen müssen. Und es können vernünftige Richtlinien eingeführt werden, um den Zugriff zu autorisieren — je nach Gerätekonformität oder anderen Anforderungen — und so eine konsistente Durchsetzung ohne Silos zu gewährleisten.
ZTS ist nicht nur eine proaktive Kontrolle für Bundesbehörden, die ihre ZTA verstärken möchten. Es ist auch eine wichtige proaktive Strategie, die sicherstellt, dass, wenn Bundesbehörden tun Wenn du verletzt wirst, können Missionen ungehindert weitergehen. Tatsächlich sahen Unternehmen, die Illumio ZTS nutzten, eine 66% Reduzierung des Aufpralls (oder Explosionsradius) eines Verstoßes und gerettet 3,8 Millionen $ aufgrund weniger Ausfälle und Ausfallzeiten. Letzten Endes trägt ein echter ZTA sowohl zu reifenden Unternehmen als auch zu fortschrittlichen und anhaltenden Bedrohungen bei.
Sie können mehr darüber erfahren, wie Das ZTS von Illumio kann Ihrer Bundesbehörde helfen verwirklichen Sie Ihre Zero-Trust-Ziele.